漏洞挖掘 | 另类未授权之精准丢包

admin 2024年5月25日00:28:13评论1 views字数 719阅读2分23秒阅读模式

前言

去年的洞,不小心翻到了,今天又看了一下,发现这个思路还可以,所以给大家分享一下。

从ACL拿下一个url随便测测,发现它是先进入后台再跳转到首页,于是我用burp抓包不放让它卡在后台页面

漏洞挖掘 | 另类未授权之精准丢包

不过并没有啥用,因为访问之后它第一件事是鉴权,会发起一个鉴权的包,所以一直卡在这里也看不到数据,但是又不能直接丢掉这个鉴权包,为啥嘞,因为丢掉的话它会这样

漏洞挖掘 | 另类未授权之精准丢包

所以这时候就需要去burp的历史记录中分析数据包了,于是找到一个比较敏感的数据包

漏洞挖掘 | 另类未授权之精准丢包

原先userId是没有任何参数的,于是我突发奇想给它加了个admin上去,试试看说不定就有用了。不过到后面他这个鉴权的包还是会发出来

漏洞挖掘 | 另类未授权之精准丢包

这里我陷入了一个思维误区,这次以为这玩意不能丢,其实从我上一步在数据包里面添加了admin之后这玩意就能丢了,这里我绕了半个钟….于是我们把这个包丢掉,然后在这个包之后还会发一个包,这个包也要丢掉

漏洞挖掘 | 另类未授权之精准丢包

丢掉之后会发现它不会再跳到登录页了,不过数据仍然显示不出来。并且在这个过程中仍然有很多个包,都要通过上述手法进行操作,不然就直接给跳登录页…

在这里后续的思路是,既然看不到数据,那就测它功能点,总有功能点是可以未授权的,于是我找到了这么一个上传文件的功能点

漏洞挖掘 | 另类未授权之精准丢包

测试之后发现,它这里什么文件都能传,但是就是不解析,会被直接下载。只有html和xml会被解析,xml我打了一下,没有触发,于是换一种思路,在html文件里面写入xss攻击代码,当有人访问这个商品页面的时候,它这个图片地址指向的是我们写入xss代码的html文件地址,所以这时候会弹一个窗出来,也算一个存储型XSS

漏洞挖掘 | 另类未授权之精准丢包

到此结束,大家有什么其它的思路可以在评论区交流鸭~


原文始发于微信公众号(渗透安全团队):漏洞挖掘 | 另类未授权之精准丢包

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月25日00:28:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞挖掘 | 另类未授权之精准丢包https://cn-sec.com/archives/2769475.html

发表评论

匿名网友 填写信息